„Auf einen Datenbankserver des SZ-Magazins haben sich Unbefugte rechtswidrig Zugang verschafft“, heißt es in der Verlagsmitteilung. Auf besagtem Server seien sogenannte Profil-Stammdaten gespeichert worden.

Das sind Daten, die Nutzer bei der Registrierung unter sz-magazin.sueddeutsche.de angegeben haben, wenn sie zum Beispiel den Magazin-Newsletter bekommen oder an Gewinnspielen teilnehmen wollten. Auch die ehemalige Kommentar-Funktion konnte dadurch genutzt werden.

Die auf dem Server gespeicherten Daten für die Pflichtfelder bei der Registrierung seien die folgenden gewesen:

- Anrede
- Vorname
- Zuname
- E-Mail-Adresse
- gespeichertes Passwort
- Postleitzahl

Daten freiwilliger Angaben bei der Registrierung seien unter anderem gewesen:

- Geburtsdatum
- Adresse
- Telefonnummer

Es habe sich bei den entwendeten Nutzerdaten „in keinem Fall“ um solche für Bezahlvorgänge wie Bankdaten gehandelt.

SZ-Datenklau: Wissen Betroffene Bescheid?
Ob es ein Einzeltäter oder mehrere Täter waren, geht aus der Erklärung nicht hervor: Der erste Satz beginnt mit „Ein Unbefugter“ – im vierten Satz (siehe oben in diesem Text) ist von mehr als einem Unbefugten die Rede.

Stattgefunden haben der Angriff „über ein Blog-System, das im Bereich des SZ-Magazins eingesetzt wird“. Mittlerweile seien die dazugehörigen Blogs „deaktiviert worden, sodass die Sicherheitslücke nunmehr geschlossen ist“.

Laut der offiziellen Mitteilung seien am 30. Mai 2016 alle Nutzer, deren Daten entwendet

wurden, via E-Mail „über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden“.

Polizeiliche Ermittlungen?
Der Süddeutsche Verlag bedauere das Geschehene sehr und entschuldige sich für alle damit verbundenen Umstände. Der Verlag habe zudem einen Strafantrag gegen Unbekannt bei der Kriminalpolizei München gestellt. Dort werde in puncto Täter und Motive ermittelt.